Notícias

5 medidas para evitar que o Twitter da sua empresa seja hackeado

Lembra-se quando as crianças derrubavam as latas de lixo apenas para se divertir?Agora, pelo menos, parte dessa energia parece ter sido redirecionada para o mundo online.

Para começar, sexta-feira um jovem de 19 anos invadiu a conta do Twitter do jornalista Mat Honan, após ganhar acesso as contas da Amazon, Apple e Google.

Domingo, um atacante invadiu a conta @ReutersTech, que tem 17.000 seguidores, e começou a twittar mensagens como “porta-voz da Casa Branca diz que o apoio financeiro e técnico dado aos agentes da al-Qaeda opera na # Síria” e “Obama proíbe qualquer investigação adicional de 11 de setembro”.

Especialistas em segurança suspeitam que o Exército Eletrônico sírio – autodescrito como “exército virtual”, que goza de pelo menos o apoio tácito do presidente sírio, Bashar al-Assad, – estava por trás da ação.

Na onda desses dois altos perfis comprometidos no Twitter – para não mencionar inúmeros incidentes anteriores envolvendo outras empresas – o que os usuários da rede social online e serviço de microblogging devem fazer para proteger suas contas? Comece com estes cinco passos.

1. Não vincule o Twitter com contas de Webmail
Serviços em nuvem como o Twitter tipicamente requerem um endereço de email para um nome de usuário. Mas um passo falho de segurança documentado por uma das vítimas foi o fato de que ele usou o seu endereço do Gmail – que foi cotada em outros sites – como o seu nome de usuário do Twitter. Uma vez que os atacantes obtiveram acesso com sucesso à sua conta do Gmail, pediram ao Twitter para redefinir a senha, que foi enviada para o Gmail, o que lhes permitiu comprometer a conta no Twitter e alterar a senha para uma de sua escolha.

Como a vítima observou: “Minhas contas estavam todas relacionadas. Acessar o Amazon permitiu aos hackers entrar na minha conta da Apple, que os ajudou a entrar no Gmail, que hes deu o acesso ao Twitter.”. Para evitar isso, use um endereço de email que não esteja hospedado – ou acessíveis – por um serviço na nuvem.

2. Faça gestão de prática de acesso adequado
Acessar a conta do Twitter de uma dessas empresas deu um bônus aos atacantes: eles também foram capazes de enviar uma mensagem para o Twitter do Gizmodo, que tem 416.000 seguidores.

3. Utilize senhas únicas
Embora possa parecer básico, também garanta que todas as senhas para contas corporativas no Twitter sejam únicas, bem como complexas.

4. Mantenha o software web atualizado
Notavelmente, os atacantes também comprometeram o blog WordPress hospedado pela Reuters. Os atacantes provavelmente tiveram acesso ao blog explorando conhecidos, vulnerabilidades exploráveis. Mark Jaquith, um desenvolvedor do WordPress, bem como um membro de sua equipe de segurança, disse ao The Wall Street Journal que o Reuters estava usando a versão 3.1.1 em vez da versão atual 3.4.1, que tem os patches de segurança mais recentes. “Se as organizações ignorarem as notificações e ficarem em uma versão desatualizada, então eles se autocolocaram em risco “, disse Jaquith.

5. Programe todos os blogs para serem autotweetados 
Muitas contas do WordPress também estão definidas para emitir automaticamente um tweet sempre que um novo post for publicado. Nesses casos, os atacantes só precisam acessar o blog de um negócio “WordPress para começar a emitir os tweets em nome da empresa.

Fonte: Mathew J. Schwartz | InformationWeek EUA

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.